Les données dans le monde du sport

« Décrocher l’or », la campagne pour la Journée mondiale de la propriété intellectuelle d’avril dernier s’est intéressée au monde du sport . A travers le sport, les entreprises peuvent exprimer auprès du grand public, des collaborateurs et des clients, leur volonté de s’associer aux valeurs d’aventure, d’humilité, de pugnacité et d’innovation.

Paris, le 9 août 2019 – « Décrocher l’or », la campagne pour la Journée mondiale de la propriété intellectuelle d’avril dernier s’est intéressée au monde du sport1.

A travers le sport, les entreprises peuvent exprimer auprès du grand public, des collaborateurs et des clients, leur volonté de s’associer aux valeurs d’aventure, d’humilité, de pugnacité et d’innovation.

De plus en plus utilisées dans le monde du sport, les données sont devenues incontournables. En effet, qu’il s’agisse d’équipements ou d’infrastructures, T-shirt ou semelle connecté, clubs de golf ou VTT, l’analyse et l’exploitation de la donnée est une véritable source d’amélioration des performances sportives et de l’innovation technique.

En 2018, le Règlement européen sur la protection des données (« RGPD ») est entré en vigueur pour harmoniser les législations des pays membres de l’Union européenne en matière de traitement des données à caractère personnel. Suite à cette entrée en vigueur, le législateur français a donc adopté la loi n°2018-493 du 20 juin 2018 afin de modifier la loi Informatique et Libertés du 6 janvier 19782.

Un traitement de données est une opération, ou ensemble d’opérations, portant sur des données à caractère personnels, quel que soit le procédé utilisé (collecte, enregistrement, organisation, communication par transmission ou diffusion, modification, extraction, conservation, ou toute autre forme de mise à disposition, …)3.

Avec la nouvelle règlementation, les acteurs dans le domaine du sport effectuant des traitements de données sont donc impactés et doivent respecter un certain nombre de nouveaux principes.

QUI EST CONCERNE ?

De nombreuses activités se déroulant dans un contexte sportif peuvent engendrer un traitement de données à caractère personnel. Seront alors concernés :

  • les structures et/ou les organisations en charge de l’organisation d’un évènement sportif (club, associations, fédérations, organisations sportives, sociétés sportives professionnelles, entreprises, …). Ces entités seront considérées comme responsables du traitement, dans la mesure où elles déterminent les finalités et les moyens du traitement,
  • les personnes concernées par le traitement : sportifs professionnels, licenciés, participants, supporters, abonnés, (…),
  • les acteurs qui agissent pour le compte du responsable de traitement (prestataires informatiques, fournisseurs de solution de chronométrage, plateformes d’inscription en ligne, …),

Etant précisé que les entités qui effectuent des traitements hors Union européenne4 sont également concernées.

QUELLES DONNEES ?


Organiser un marathon ou une compétition sportive entraînera nécessairement un traitement de données des joueurs et/ou participants.

Les données à caractère personnel sont définies comme toute information permettant d’identifier une personne physique directement ou indirectement5. La notion étant largement définie, il peut, par exemple, s’agir des données suivantes : nom, prénom, adresse postale, adresse e-mail, date de naissance, âge.

Une montre connectée permettra quant à elle de mesurer des données sur les performances sportives de la personne utilisatrice, la distance, la vitesse mesurée, le rythme ou le taux d’hydratation.

Les organisateurs de manifestations sportives peuvent constituer des fichiers de « mauvais » supporter comportant des données relatives à des condamnations d’interdiction de stade prononcées par l’autorité judicaire ou des mesures de sûreté décidées par l’autorité administrative. Ces pratiques de fichages pour exclure les supporteurs indésirables lors des manifestations ne sont pas nouvelles6 et ont été notamment autorisées pour le PSG7. Ces fichiers « STADE », même autorisés, devront néanmoins répondre aux nouvelles exigences légales et notamment relatives à la précision des finalités et du fondement juridique des traitements.

Les données médicales

La participation aux événements sportifs est subordonnée par le Code du Sport à la présentation d’un certificat médical mentionnant l’absence de contre-indication8. Un tel document peut indiquer des données « qui révèlent des informations sur l’état de santé »9.

Les données relatives à la santé sont des données « sensibles » et impliquent un régime juridique particulier (consentement, dispositions relatives au secret professionnel, aux référentiels de sécurité, interdiction de céder ou d’exploiter commercialement ses données, l’hébergement des données, …).

Les photographies ou vidéos

Que ce soit pour la promotion de l’évènement, la diffusion des résultats, des campagnes publicitaires, promotionnelles et/ou commerciales ou dans le cadre d’un dispositif biométrique de reconnaissance faciale (par exemple, gestion des interdictions de stade), des vidéos ou photographies des sportifs et/ou des participants peuvent être captées, reproduites et diffusées.

Les photographies ou séquences audio-visuelles permettent « d’identifier directement ou indirectement » les participants et/ou sportifs. Elles sont par conséquent considérées comme des données à caractère personnel au sens du RGPD.

Comme tout traitement de données, il incombera au responsable de traitement de déterminer la base légale de ces traitements (cf. ci-dessous) et d’obtenir l’autorisation préalable à la diffusion de ces données (droit à l’image des participants/sportifs).

Pour les photographies et/ou vidéos prises lors d’une compétition, un régime particulier10 s’applique car elles « appartiennent » aux organisateurs ou aux fédérations sportives. Ces instances étant les seules à pouvoir les exploiter commercialement.

QUELLES OBLIGATIONS POUR LE RESPONSABLE DE TRAITEMENT ?


Base légale et finalités de traitement des données

Pour répondre aux exigences légales, tout traitement de données doit, pour être licite, être établi sur une base légale (consentement, respect d’une obligation légale, exécution d’un contrat, intérêt légitime, …) et correspondre à des finalités déterminées, explicites et légitimes.

Dans un contexte d’événement sportif, les finalités du traitement des données peuvent être pour les structures et organisations de gérer les inscriptions administratives, fournir les dossards, ou encore pour analyser et communiquer des résultats sportifs.

Information des personnes concernées

Les responsables de traitement devront respecter les droits des participants et/ou sportifs. Il s’agit notamment du droit à l’information qui doit permettre de savoir de manière claire et compréhensible l’utilisation faite des données.

En pratique, cette information doit comporter de nombreuses indications telles que définies aux articles 13 et 14 du RGPD (identité du responsable de traitement, finalité et base juridique du traitement, durée de conservation des données, droits des personnes tels que l’accès ou la suppression des données, les destinataires des données, l’existence d’un transfert vers des pays tiers à l’Union européenne, …).

Protection et sécurité des données

Le RGPD impose le respect des principes de protection des données dès la conception et par défaut. Il s’agit pour les structures/organisations sportives de mettre en œuvre des mesures techniques et organisationnelles dès les premières étapes de la conception des opérations de traitement, et de traiter selon le niveau le plus élevé de protection de la vie privée. Par exemple, seules les données nécessaires devraient être traitées, les durées de conservation devant être brèves et l’accessibilité aux données devant être limitée à certaines personnes.

Par ailleurs, il est nécessaire pour le responsable de traitement et le sous-traitant de prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». En effet, il s’agit de mettre en place des moyens adaptés pour éviter des attaques types phishing, vol de données, intrusions dans les systèmes (…). On constate que le non-respect des obligations concerne pour la plupart des sanctions relatives à des failles de sécurité11.

En pareille circonstance, le RGPD impose de faire une déclaration de violation auprès de la CNIL et d’avertir les personnes concernées de cette violation.

Sous-traitance des données

Dans certaines situations, les données des sportifs et/ou participants seront susceptibles d’être transférées auprès de tiers tels que les chronométreurs, les plateformes électroniques d’inscriptions, (…) qui vont assurer certains traitements pour le compte des organisateurs.

Ces transferts et sous-traitances supposent le respect de l’article 28 du RGPD (contrat ou acte juridique avec le sous-traitant, garanties suffisantes de mesures techniques et organisationnelles appropriées, …).

Ces flux sont encadrés pour garantir la sécurité et la protection des données des sportifs et participants.

Flux des données

Les données peuvent également être transférées hors Union européenne. Par exemple, le stockage de données des résultats sportifs sur une plateforme dans le cloud auprès d’un prestataire établi aux USA est un transfert de données hors UE. Ces transferts ne peuvent avoir lieu que dans le plein respect des dispositions fixées par les règlementations applicables (décision d’adéquation de la Commission, garanties appropriées, clauses contractuelles, règles d’entreprise contraignantes, …).

Nul doute que le bon usage des données est un avantage concurrentiel dans le secteur du sport qui pesait en 2017 environ 38 milliards d’euros en France d’après les chiffres du Ministère des sports12.

Véritable opportunité, la mise en place de bonnes pratiques pour mieux collecter, maîtriser et utiliser les données conformément aux règlementations en est la clef.

1 https://www.wipo.int/ip-outreach/fr/ipday/
2 Loi n°78-17 du 6 janvier 2178 relative à l’informatique, aux fichiers et aux libertés
3 Article 4.2 du RGPD
4 Article 3 du RGPD
5 Le RGPD définit « données à caractère personnel » comme « toute information se rapportant à une personne physique identifiée ou identifiable » (ci-après dénommée « personne concernée »). Le texte précise « est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
6 CE, 10e et 9e ch., 13 juin 2016, n° 377194 : JurisData n° 2016-012902 ; Comm. com. électr. 2016, comm. 84, A. Debet.
7 Arrêté du 15 avril 2015 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « fichier STADE », JORF n°0095 du 23 avril 2015
8 Article L.231-2-1 du Code du Sport
9 Articles 4 et15 du RGPD
10 Article L.333-1 du Code du Sport
11 Sécuriser les données en 5 leçons
 12 Ce chiffre comprend à la fois les dépenses des particuliers, mais également des entreprises et des administrations, soit 1.8 % du PIB